Scanner gratuitement

Cette page n'a pas encore été traduite dans votre langue. Affichage du contenu en anglais pendant que nous y travaillons.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-46445CVSS 7.1

CVE-2026-46445: SQL Injection in SOGo

Plateforme

postgresql

Composant

sogo

Corrigé dans

5.12.7

Voir sur NVD
Sauvegarder
Traduction vers votre langue…

CVE-2026-46445 describes a SQL Injection vulnerability affecting SOGo versions from 0.0.0 up to and including 5.12.7. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and manipulation. The vulnerability is specifically triggered when SOGo is configured to use a PostgreSQL database. A fix is available in version 5.12.7.

Impact et Scénarios d'Attaquetraduction en cours…

Successful exploitation of CVE-2026-46445 could allow an attacker to bypass authentication and gain unauthorized access to the SOGo database. This could lead to the exfiltration of sensitive user data, including email content, calendar entries, and contact information. Depending on the database permissions, an attacker might also be able to modify or delete data, potentially disrupting SOGo services or causing data loss. The impact is particularly severe in environments where SOGo is used to manage critical business communications and data.

Contexte d'Exploitationtraduction en cours…

CVE-2026-46445 was published on May 14, 2026. Severity is rated as HIGH (CVSS 7.1). There are currently no publicly known exploits or active campaigns targeting this vulnerability. The vulnerability is not listed on KEV (Known Exploited Vulnerabilities) as of the publication date. Monitor security advisories and threat intelligence feeds for any updates.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L7.1HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityHighConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityLowRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantsogo
FournisseurAlinto
Version minimale0.0.0
Version maximale5.12.7
Corrigé dans5.12.7

Classification de Faiblesse (CWE)

CWE-89

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournementstraduction en cours…

The primary mitigation for CVE-2026-46445 is to upgrade SOGo to version 5.12.7 or later. Before upgrading, it's crucial to review the SOGo release notes for any potential breaking changes and test the upgrade in a non-production environment. As a temporary workaround, consider implementing strict input validation and sanitization on all user-supplied data that is used in SQL queries. While not a complete solution, this can help reduce the attack surface. Additionally, review PostgreSQL database user permissions to ensure they adhere to the principle of least privilege.

Comment corrigertraduction en cours…

Actualice SOGo a la versión 5.12.7 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige una falla que permite a atacantes inyectar código SQL malicioso a través de consultas a la base de datos PostgreSQL.

Questions fréquentestraduction en cours…

What is CVE-2026-46445 — SQL Injection in SOGo?

CVE-2026-46445 is a SQL Injection vulnerability affecting SOGo versions 0.0.0 through 5.12.7 when using PostgreSQL. It allows attackers to inject malicious SQL code to potentially access or modify the database.

Am I affected by CVE-2026-46445 in SOGo?

You are affected if you are running SOGo versions 0.0.0 through 5.12.7 and using a PostgreSQL database. Verify your SOGo version and upgrade if necessary.

How do I fix CVE-2026-46445 in SOGo?

Upgrade SOGo to version 5.12.7 or later. Review the release notes for potential breaking changes and test the upgrade in a non-production environment before applying it to production.

Is CVE-2026-46445 being actively exploited?

As of the publication date, there are no publicly known exploits or active campaigns targeting CVE-2026-46445. However, it's crucial to apply the fix promptly to mitigate potential future risks.

Where can I find the official SOGo advisory for CVE-2026-46445?

Refer to the official SOGo security advisories on the SOGo website: [https://www.sogo.nu/security/](https://www.sogo.nu/security/)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...